Konfigurasi penerowongan paksa

  • Artikel
  • 5 menit untuk membaca

Penerowongan paksa memungkinkan Anda mengalihkan atau "memaksa" semua lalu lintas yang terikat internet kembali ke lokasi lokal Anda melalui terowongan Site-to-Site VPN untuk inspeksi dan audit. Ini adalah persyaratan keamanan penting untuk sebagian besar kebijakan IT perusahaan. Tanpa penerowongan paksa, lalu lintas yang terikat Internet dari VM Anda di Azure akan selalu melintasi infrastruktur jaringan Azure langsung ke Internet, tanpa opsi untuk memungkinkan Anda memeriksa atau mengaudit lalu lintas. Akses Internet yang tidak sah dapat berpotensi menyebabkan pengungkapan informasi atau jenis pelanggaran keamanan lainnya.

Penerowongan paksa dapat dikonfigurasi dengan menggunakan Azure PowerShell. Ini tidak dapat dikonfigurasi menggunakan portal Microsoft Azure. Artikel ini membantu Anda mengonfigurasi penerowongan paksa untuk jaringan virtual yang dibuat menggunakan model penyebaran Resource Manager. Jika Anda ingin mengonfigurasi penerowongan paksa untuk model penyebaran klasik, lihat Penerowongan paksa - klasik.

Tentang penerowongan paksa

Diagram berikut menggambarkan cara kerja penerowongan paksa.

Diagram shows forced tunneling.

Dalam contoh ini, subnet Frontend bukan penerowongan paksa. Beban kerja di subnet Frontend dapat terus menerima dan menanggapi permintaan pelanggan dari Internet secara langsung. Subnet Mid-tier dan Backend merupakan penerowongan paksa. Setiap koneksi keluar dari kedua subnet ke Internet ini akan dipaksa atau dialihkan kembali ke situs lokal melalui salah satu terowongan VPN Site-to-Site (S2S).

Ini memungkinkan Anda membatasi dan memeriksa akses Internet dari komputer virtual atau layanan cloud Anda di Azure, sambil terus mengaktifkan arsitektur layanan multitingkat Anda yang diperlukan. Anda juga dapat menerapkan penerowongan paksa ke seluruh jaringan virtual jika tidak ada beban kerja yang terhubung ke Internet di jaringan virtual Anda.

Persyaratan dan pertimbangan

Penerowongan paksa di Azure dikonfigurasi melalui rute yang ditentukan pengguna (UDR) jaringan virtual. Mengalihkan lalu lintas ke situs lokal dinyatakan sebagai Rute Default ke gateway VPN Azure. Untuk informasi selengkapnya tentang perutean dan jaringan virtual yang ditentukan pengguna, lihat Rute yang ditentukan pengguna kustom.

  • Setiap subnet jaringan virtual memiliki tabel perutean sistem bawaan. Tabel perutean sistem memiliki tiga grup rute berikut:

    • Rute VNet lokal: Langsung ke VM tujuan dalam jaringan virtual yang sama.
    • Rute lokal: Ke gateway VPN Azure.
    • Rute default: Langsung ke Internet. Paket yang ditujukan ke alamat IP pribadi yang tidak dicakup oleh dua rute sebelumnya akan dihilangkan.

  • Penerowongan paksa harus dikaitkan dengan VNet yang memiliki gateway VPN berbasis rute. Konfigurasi penerowongan paksa Anda akan mengambil alih rute default untuk subnet apa pun di VNet-nya. Anda perlu menyetel "situs default" di antara situs lokal lintas tempat yang terhubung ke jaringan virtual. Selain itu, perangkat VPN lokal harus dikonfigurasi menggunakan 0.0.0.0/0 sebagai pemilih lalu lintas.

  • Penerowongan paksa ExpressRoute tidak dikonfigurasi melalui mekanisme ini, tetapi sebaliknya, diaktifkan dengan memperlihatkan rute default melalui sesi komunikasi dua arah BGP ExpressRoute. Untuk informasi selengkapnya, lihat Dokumentasi ExpressRoute.

Ringkasan konfigurasi

Prosedur berikut ini membantu Anda membuat grup sumber daya dan VNet. Anda kemudian akan membuat gateway VPN dan mengonfigurasi penerowongan paksa. Dalam contoh ini, jaringan virtual 'MultiTier-VNet' memiliki tiga subnet: subnet 'Frontend', 'Midtier', dan 'Backend', dengan empat koneksi lintas tempat: 'DefaultSiteHQ', dan tiga Cabang.

Langkah-langkah berikut akan menetapkan 'DefaultSiteHQ' sebagai koneksi situs default untuk penerowongan paksa, dan mengonfigurasi subnet ‘Midtier’ dan ‘Backend’ untuk menggunakan penerowongan paksa.

Sebelum Anda mulai

Pasang versi terbaru cmdlet Azure Resource Manager PowerShell. Lihat Cara memasang dan mengonfigurasi Azure PowerShell untuk informasi lengkap tentang pemasangan cmdlets PowerShell.

Penting

Memasang versi terbaru cmdlet PowerShell diperlukan. Jika tidak, Anda mungkin menerima kesalahan validasi saat menjalankan beberapa cmdlet.

Untuk masuk

Jika Anda menjalankan PowerShell secara lokal, buka konsol PowerShell dengan hak istimewa tambahan dan sambungkan ke akun Azure Anda. Cmdlet Connect-AzAccount meminta info masuk Anda. Setelah diautentikasi, pengaturan akun Anda diunduh sehingga tersedia untuk Azure PowerShell.

Jika Anda menggunakan Azure Cloud Shell bukannya menjalankan PowerShell secara lokal, Anda akan melihat bahwa tidak perlu menjalankan Connect-AzAccount. Azure Cloud Shell tersambung ke akun Azure secara otomatis setelah Anda memilih Coba.

  1. Jika Anda menjalankan PowerShell secara lokal, masuk terlebih dahulu.

    Connect-AzAccount

  2. Jika Anda memiliki lebih dari satu langganan, dapatkan daftar langganan Azure Anda.

    Get-AzSubscription

  3. Tentukan langganan yang ingin Anda gunakan.

    Select-AzSubscription -SubscriptionName "Name of subscription"

Konfigurasi penerowongan paksa

Catatan

Anda mungkin melihat peringatan yang mengatakan "Jenis objek output cmdlet ini akan dimodifikasi dalam rilis mendatang". Ini adalah perilaku yang diharapkan dan Anda dapat mengabaikan peringatan ini dengan aman.

  1. Buat grup sumber daya.

    New-AzResourceGroup -Name 'ForcedTunneling' -Location 'North Europe'

  2. Membuat jaringan virtual dan menentukan subjaringan.

    $s1 = New-AzVirtualNetworkSubnetConfig -Name "Frontend" -AddressPrefix "10.1.0.0/24"
$s2 = New-AzVirtualNetworkSubnetConfig -Name "Midtier" -AddressPrefix "10.1.1.0/24"
$s3 = New-AzVirtualNetworkSubnetConfig -Name "Backend" -AddressPrefix "10.1.2.0/24"
$s4 = New-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -AddressPrefix "10.1.200.0/28"
$vnet = New-AzVirtualNetwork -Name "MultiTier-VNet" -Location "North Europe" -ResourceGroupName "ForcedTunneling" -AddressPrefix "10.1.0.0/16" -Subnet $s1,$s2,$s3,$s4

  3. Membuat gateway jaringan lokal.

    $lng1 = New-AzLocalNetworkGateway -Name "DefaultSiteHQ" -ResourceGroupName "ForcedTunneling" -Location "North Europe" -GatewayIpAddress "111.111.111.111" -AddressPrefix "192.168.1.0/24"
$lng2 = New-AzLocalNetworkGateway -Name "Branch1" -ResourceGroupName "ForcedTunneling" -Location "North Europe" -GatewayIpAddress "111.111.111.112" -AddressPrefix "192.168.2.0/24"
$lng3 = New-AzLocalNetworkGateway -Name "Branch2" -ResourceGroupName "ForcedTunneling" -Location "North Europe" -GatewayIpAddress "111.111.111.113" -AddressPrefix "192.168.3.0/24"
$lng4 = New-AzLocalNetworkGateway -Name "Branch3" -ResourceGroupName "ForcedTunneling" -Location "North Europe" -GatewayIpAddress "111.111.111.114" -AddressPrefix "192.168.4.0/24"

  4. Membuat gateway virtual network. Membuat gateway seringkali bisa memakan waktu 45 menit atau lebih, bergantung pada SKU gateway yang dipilih. Jika Anda melihat kesalahan ValidasiSet mengenai nilai GatewaySKU, verifikasi bahwa Anda telah memasang versi terbaru cmdlet PowerShell. Versi terbaru cmdlet PowerShell berisi nilai baru yang divalidasi untuk SKU Gateway terbaru.

    $pip = New-AzPublicIpAddress -Name "GatewayIP" -ResourceGroupName "ForcedTunneling" -Location "North Europe" -AllocationMethod Dynamic
$gwsubnet = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet
$ipconfig = New-AzVirtualNetworkGatewayIpConfig -Name "gwIpConfig" -SubnetId $gwsubnet.Id -PublicIpAddressId $pip.Id
New-AzVirtualNetworkGateway -Name "Gateway1" -ResourceGroupName "ForcedTunneling" -Location "North Europe" -IpConfigurations $ipconfig -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1 -EnableBgp $false

  5. Menetapkan situs default ke gateway jaringan virtual. -GatewayDefaultSite adalah parameter cmdlet yang memungkinkan konfigurasi perutean paksa berfungsi, jadi berhati-hatilah untuk mengonfigurasi pengaturan ini dengan benar.

    $LocalGateway = Get-AzLocalNetworkGateway -Name "DefaultSiteHQ" -ResourceGroupName "ForcedTunneling"
$VirtualGateway = Get-AzVirtualNetworkGateway -Name "Gateway1" -ResourceGroupName "ForcedTunneling"
Set-AzVirtualNetworkGatewayDefaultSite -GatewayDefaultSite $LocalGateway -VirtualNetworkGateway $VirtualGateway

  6. Membuat koneksi VPN Site-to-Site.

    $gateway = Get-AzVirtualNetworkGateway -Name "Gateway1" -ResourceGroupName "ForcedTunneling"
$lng1 = Get-AzLocalNetworkGateway -Name "DefaultSiteHQ" -ResourceGroupName "ForcedTunneling" 
$lng2 = Get-AzLocalNetworkGateway -Name "Branch1" -ResourceGroupName "ForcedTunneling" 
$lng3 = Get-AzLocalNetworkGateway -Name "Branch2" -ResourceGroupName "ForcedTunneling" 
$lng4 = Get-AzLocalNetworkGateway -Name "Branch3" -ResourceGroupName "ForcedTunneling" 

New-AzVirtualNetworkGatewayConnection -Name "Connection1" -ResourceGroupName "ForcedTunneling" -Location "North Europe" -VirtualNetworkGateway1 $gateway -LocalNetworkGateway2 $lng1 -ConnectionType IPsec -SharedKey "preSharedKey"
New-AzVirtualNetworkGatewayConnection -Name "Connection2" -ResourceGroupName "ForcedTunneling" -Location "North Europe" -VirtualNetworkGateway1 $gateway -LocalNetworkGateway2 $lng2 -ConnectionType IPsec -SharedKey "preSharedKey"
New-AzVirtualNetworkGatewayConnection -Name "Connection3" -ResourceGroupName "ForcedTunneling" -Location "North Europe" -VirtualNetworkGateway1 $gateway -LocalNetworkGateway2 $lng3 -ConnectionType IPsec -SharedKey "preSharedKey"
New-AzVirtualNetworkGatewayConnection -Name "Connection4" -ResourceGroupName "ForcedTunneling" -Location "North Europe" -VirtualNetworkGateway1 $gateway -LocalNetworkGateway2 $lng4 -ConnectionType IPsec -SharedKey "preSharedKey"

Get-AzVirtualNetworkGatewayConnection -Name "Connection1" -ResourceGroupName "ForcedTunneling"